如何存取 Microsoft Entra ID 中的活動記錄

Microsoft Entra 記錄中收集的資料可讓您評估 Microsoft Entra 租用戶的許多層面。 為了涵蓋廣泛的案例，Microsoft Entra ID 提供數個選項來存取您的活動記錄資料。 身為 IT 系統管理員，您必須了解這些選項的預期使用案例，以便針對您的情節選取正確的存取方法。

您可以使用下列方法來存取 Microsoft Entra 活動記錄和報告：

• 將活動記錄串流至事件中樞以與其他工具整合
• 透過 Microsoft Graph API 存取活動記錄
• 整合活動記錄與 Azure 監視器記錄
• 使用 Microsoft Sentinel 即時監視活動
• 在 Azure 入口網站中檢視活動記錄和報告
• 匯出儲存體和查詢的活動記錄

每個方法都提供可能符合特定案例的功能。 本文說明這些案例，包括有關使用活動記錄資料之相關報告的建議和詳細資料。 探索本文中的選項，以了解這些案例，以便選擇正確的方法。

必要條件

所需的角色和授權會根據報告而有所不同。 需要個別權限才能存取 Microsoft Graph 中的監視和健康情況資料。 建議您使用具有最低權限存取權的角色，以符合零信任指導。 如需角色的完整清單，請參閱＜工作的最低特殊權限角色＞。

記錄/報告	角色	授權
稽核記錄	報告讀取者 安全性讀取者 安全性系統管理員	所有版本的 Microsoft Entra ID
登入記錄	報告讀取者 安全性讀取者 安全性系統管理員	所有版本的 Microsoft Entra ID
佈建記錄	報告讀取者 安全性讀取者 應用程式系統管理員 雲端應用程式管理員	Microsoft Entra ID P1 或 P2
自訂安全性屬性稽核記錄*	屬性記錄系統管理員 屬性記錄讀者	所有版本的 Microsoft Entra ID
健全狀況	報告讀取者 安全性讀取者 服務台管理員	Microsoft Entra ID P1 或 P2
Microsoft Entra ID Protection	安全性系統管理員 安全性操作員 安全性讀取者 全域讀取者	Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 或 P2
Microsoft Graph 活動記錄	安全性系統管理員 存取對應記錄目的地中的資料的權限	Microsoft Entra ID P1 或 P2
使用量和深入解析	報告讀取者 安全性讀取者 安全性系統管理員	Microsoft Entra ID P1 或 P2

*檢視稽核記錄中的自訂安全性屬性或為自訂安全性屬性建立診斷設定需要其中一個「屬性記錄」角色。 您也需要適當的角色才能檢視標準稽核記錄。

** Microsoft Entra ID Protection 的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊，請參閱 ID 保護的授權需求。

稽核記錄適用於您已授權的功能。 若要使用 Microsoft Graph API 存取登入記錄，您的租用戶必須具有與其相關聯的 Microsoft Entra ID P1 或 P2 授權。

透過 Microsoft Entra 系統管理中心檢視記錄

對於範圍有限的一次性調查，Microsoft Entra 系統管理中心通常是尋找所需資料的最簡單方式。 這些報告中，每個報告的使用者介面都提供篩選選項，可讓您找出解決案例所需的項目。

Microsoft Entra 活動記錄中擷取的資料，用於許多報告和服務。 您可以檢閱一次性案例的登入、稽核和佈建記錄，或使用報告來查看模式和趨勢。 活動記錄中的資料有助於填入「身分識別保護」報告，其提供 Microsoft Entra ID 可偵測並報告的資訊安全相關風險偵測。 Microsoft Entra 活動記錄也會填入使用量與深入解析報告，其會提供租用戶應用程式的使用量詳細資料。

建議的使用者

Azure 入口網站中可用的報告提供各種不同的功能，可監視租用戶中的活動和使用量。 下列使用和案例清單並不詳盡，因此請探索您所需的報告。

• 研究使用者的登入活動，或追蹤應用程式的使用量。
• 使用稽核記錄檢閱群組名稱變更、裝置註冊和密碼重設的詳細資料。
• 使用「身分識別保護」報告來監視有風險的使用者、具風險的工作負載身分識別，以及有風險的登入。
• 在 Microsoft Entra 應用程式活動 (預覽) 報告中，從使用量與深入解析檢閱登入成功率，以確保使用者可以存取租用戶中的使用中應用程式。
• 比較使用者偏好的不同驗證方法與使用量與深入解析中的驗證方法報告。

快速步驟

使用下列基本步驟來存取 Microsoft Entra 系統管理中心中的報告。

Microsoft Entra 活動記錄

1. 瀏覽至 [身分識別] > [監視和健康情況] > [稽核記錄] / [登入記錄] / [佈建記錄]。
2. 根據您的需求調整篩選。
   • 了解如何篩選活動記錄
   • 探索 Microsoft Entra 稽核記錄類別和活動
   • 了解 Microsoft Entra 登入記錄中的基本資訊

您可以直接從目前正在操作的 Microsoft Entra 系統管理中心區域存取稽核記錄。 例如，若您位於 Microsoft Entra ID 的 [群組] 或 [授權] 區段中，即可直接從該區域存取這些特定活動的稽核記錄。 以這種方式存取稽核記錄時，會自動設定篩選類別。 若在 [群組] 中，稽核記錄篩選類別會設定為 GroupManagement。

Microsoft Entra ID Protection 報告

1. 瀏覽至 [資料保護] > [身分識別保護]。
2. 探索可用的報告。
   • 深入了解 Identity Protection
   • 了解如何調查風險

使用量與深入解析報告

1. 瀏覽至 [身分識別] > [監視和健康情況] > [使用量與深入解析]。
2. 探索可用的報告。
   • 深入了解使用量與深入解析報告

將記錄串流至事件中樞以與 SIEM 工具整合

您必須將活動記錄串流至事件中樞，才能將活動記錄與「安全性資訊與事件管理 (SIEM)」工具整合，例如 Splunk 和 SumoLogic。 您必須先在 Azure 訂用帳戶中設定事件中樞命名空間和事件中樞，才能將記錄串流至事件中樞。

建議的使用者

可與事件中樞整合的 SIEM 工具可以提供分析和監視功能。 若已經使用這些工具來內嵌其他來源的資料，您可以串流身分識別資料，以進行更全面的分析和監視。 對於下列案例類型，建議您將您的活動記錄串流至事件中樞：

• 如需巨量資料串流平台和事件擷取服務，以便每秒接收和處理數百萬個事件。
• 若希望使用即時分析提供者或批次/儲存裝置介面卡來轉換和儲存資料。

快速步驟

1. 以至少安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 建立事件中樞命名空間和事件中樞。
3. 瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]。
4. 選擇您要串流的記錄、選取 [串流至事件中樞] 選項，然後完成欄位。
   • 設定事件中樞命名空間和事件中樞
   • 深入了解將活動記錄串流至事件中樞

您的獨立安全性廠商應提供有關如何將資料從 Azure 事件中樞內嵌至其工具的指示。

使用 Microsoft Graph API 存取記錄

Microsoft Graph API 提供統一的程式設計模型，可讓您用來存取Microsoft Entra ID P1 或 P2 租用戶的資料。 不需要管理員或開發人員設定額外的基礎結構來支援您的指令碼或應用程式。

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

建議的使用者

使用 Microsoft Graph 總管，您可以執行查詢來協助處理下列類型的案例：

• 檢視租用戶活動，例如，變更群組的人員及變更時間。
• 將 Microsoft Entra 登入事件標示為安全或已確認遭入侵。
• 擷取過去 30 天的應用程式登入清單。

注意

Microsoft Graph 可讓您存取多個服務的資料，這些服務會施加自己的節流限制。 如需活動記錄節流的詳細資訊，請參閱 Microsoft Graph 服務特定的節流限制。

快速步驟

1. 設定必要條件。
2. 登入 Graph 總管。
3. 設定 HTTP 方法和 API 版本。
4. 新增查詢，然後選取 [執行查詢] 按鈕。
   • 熟悉目錄稽核的 Microsoft Graph 屬性
   • 完成 MS Graph 快速入門指南

整合記錄與 Azure 監視器記錄

透過 Azure 監視器記錄整合，您可以對已連線的資料啟用豐富的視覺效果、監視和警示功能。 Log Analytics 為 Microsoft Entra 活動記錄提供增強的查詢和分析功能。 若要整合 Microsoft Entra 活動記錄與 Azure 監視器記錄，您需要 Log Analytics 工作區。 您可以從該處透過 Log Analytics 執行查詢。

建議的使用者

整合 Microsoft Entra 記錄與 Azure 監視器記錄便可提供集中位置，以供查詢記錄。 對於下列案例類型，建議整合記錄與 Azure 監視器：

• 比較 Microsoft Entra 登入記錄與其他 Azure 服務所發佈的記錄。
• 產生登入記錄與 Azure Application Insights 的關聯。
• 使用特定搜尋參數來查詢記錄。

快速步驟

1. 以至少安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 建立 Log Analytics 工作區。
3. 瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]。
4. 選擇您要串流的記錄、選取 [傳送至 Log Analytics 工作區] 選項，然後完成欄位。
5. 瀏覽至 [身分識別] > [監視和健康情況] > [Log Analytics],以開始查詢資料。
   • 整合 Microsoft Entra 記錄與 Azure 監視器記錄
   • 了解如何使用 Log Analytics 進行查詢

使用 Microsoft Sentinel 監視事件

將登入和稽核記錄傳送至 Microsoft Sentinel 即可為您的安全性作業中心提供近乎即時的安全性偵測和威脅搜捕。 「威脅搜捕」一詞是指改善環境安全態勢的一種主動方法。 相對於傳統保護，執行緒搜捕會嘗試主動找出可能損害您系統的潛在威脅。 您的活動記錄資料可能會在威脅搜捕解決方案中派上用場。

建議的使用者

若組織需要安全性分析和威脅情報，建議您使用 Microsoft Sentinel 的即時安全性偵測功能。 若要執行下列作業，請使用 Microsoft Sentinel：

• 收集整個企業的安全性資料。
• 使用龐大的威脅情報來偵測威脅。
• 調查 AI 引導的危急事件。
• 快速回應並自動化保護。

快速步驟

1. 了解必要條件、角色和權限。
2. 預估潛在成本。
3. 上線至 Microsoft Sentinel。
4. 收集 Microsoft Entra 資料。
5. 開始搜捕威脅。

匯出儲存體和查詢的記錄

長期儲存的正確解決方案取決於您的預算，以及您打算對資料執行的作業。 您有三個選項：

• 將記錄封存至 Azure 儲存體
• 下載記錄以進行手動儲存
• 整合記錄與 Azure 監視器記錄

若不打算經常查詢資料，Azure 儲存體會是正確的解決方案。 如需詳細資訊，請參閱將目錄記錄封存至儲存體帳戶。

若打算經常查詢記錄以執行報告或對儲存的記錄執行分析，您應該整合資料與 Azure 監視器記錄。

若預算很吃緊，需要便宜的方法來建立活動記錄的長期備份，建議您手動下載記錄。 入口網站中的活動記錄使用者介面即提供將資料下載為 JSON 或 CSV 的選項。 手動下載的一項權衡取捨是需要較多的手動互動工作。 若要尋找更專業的解決方案，請使用 Azure 儲存體或 Azure 監視器。

建議的使用者

建議您設定儲存體帳戶，為需要長期儲存的治理和合規性案例封存您的活動記錄。

若要長期儲存，而且想要對資料執行查詢，請檢閱整合活動記錄與 Azure 監視器記錄一節。

如有預算限制，建議您手動下載並儲存活動記錄。

快速步驟

使用下列基本步驟來封存或下載您的活動記錄。

將活動記錄封存至儲存體帳戶

1. 以至少安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 建立儲存體帳戶。
3. 瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]。
4. 選擇您要串流的記錄、選取 [封存至儲存體帳戶] 選項，然後完成欄位。
   • 檢閱資料保留原則

手動下載活動記錄

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
2. 從 [監視] 功能表，瀏覽至 [身分識別] > [監視和健康情況] > [稽核記錄]/[登入記錄] / [佈建記錄]。
3. 選取 [下載]。
   • 深入了解如何下載記錄。

下一步

• 將記錄串流至事件中樞 (部分機器翻譯)
• 將記錄封存至儲存體帳戶
• 整合記錄與 Azure 監視器記錄